Les données de clients de la RATP en libre accès
Le par Mathieu M.
Lorsqu'un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site.
La RATP et la sécurité : on avance, on avance
Mi-juillet, un internaute souscrivait en ligne au passe Navigo (une carte à puce équipée d'une puce RFID permettant de franchir les bornes de contrôle dans les transports en commun d'Ile-de-France sans avoir de ticket à sortir) lorsqu'il s'est rendu compte qu'une partie de son numéro de dossier apparaissait dans l'adresse (URL) de la page en question.
Il réalise alors qu'en modifiant ce numéro, il peut accéder aux données de plusieurs autres abonnés, c'est à dire les noms, prénoms, adresses, emails, numéros de téléphone ou encore photos des personnes en question, sans qu'aucun mot de passe ne lui soit demandé. Il signale donc la faille en question à la RATP, la société de transport qui propose cette carte sur son site internet, ainsi qu'à Comutitres le groupe qui gère l'ensemble des titres de transport proposés en Ile-de-France.
Oui mais voilà, la RATP refuse de reconnaître qu'une faille est présente sur son site internet, et n'apporte que pour seule réponse la suppression des fiches que cet internaute a envoyées pour prouver l'existence de la faille.
Ne sachant plus que faire et ne souhaitant pas laisser cette faille en place car conscient du danger que cela représente, il se tourne alors vers l'association de consommateurs UFC Que-Choisir, qui signale à son tour le problème à la RATP. C'est seulement alors que la partie du site consacrée à la demande d'un passe Navigo aurait été fermée.
Le site est aujourd'hui toujours fermé, et il faut donc se tourner vers les autres dépositaires agréés par la RATP.
Et pendant ce temps, rien ne dit qu'une personne malveillante n'a pas pu se rendre également compte de l'existence de cette faille et récupérer ces données à l'insu des personnes concernées...
Complément d'information
-
La CNIL a ouvert, il y a peu, une enquête concernant la faille de sécurité qui a affecté le système informatique du groupe bancaire Crédit Mutuel-CIC
Poser une question
D'habitude, UFC aime bien lancer des procès, ça m'étonne qu'ils n'ont fait qu'avertir alors qu'il y avait délibérément de la négligence... en gros, elle sert à rien cette loi "informatique et libertés"....
Et puis bon, franchement ça sert à quoi de faire un procès dans ce cas là '
Le mec qu'a fait ça est surement déjà viré, euh pardon promut (fonction publique oblige), le site est fermé/ Alors ca sert à quoi de faire un procès ' Juste à gagner des brouzoufs ' Quelle belle mentalité !
Mais ils ont quoi dans la tete les gars qui ont développé le site '
Encore un exemple non pas de faille informatique, mais de faille humaine.
C'est exactement ça. Tu lances un appel d'offres pour la réalisation, et le vainqueur est celui qui a les + beaux slides powerpoint avec le moins d'?uros sur la dernière page.
Bien entendu, les décideurs dès qu'il faut payer une prestation sont tout sauf des personnes sensibles aux NTIC (en advanced).
Résultat : ils n'admettent même pas leur co...... et seule la peur de la Une du JT de PPDA les fait plier. Merci l'UFC quand même ...